tencent cloud

Cloud Load Balancer

動向とお知らせ
製品アップデート情報
製品に関するお知らせ
製品の説明
製品概要
製品の優位性
ユースケース
技術原理
Product Comparison
使用上の制約
Service Regions and Service Providers
購入ガイド
課金概要
課金項目
購入方法
支払い延滞の説明
製品属性の選択
クイックスタート
ドメイン名型CLBクイックスタート
CLBクイックスタート
IPv6 CLBクイックスタート
CentOSにおけるNginxのデプロイ
CentOSにおけるJava Webのデプロイ
操作ガイド
CLBインスタンス
CLBリスナー
バックエンドサーバー
ヘルスチェック
証明書管理
ログ管理
監視アラート
Cloud Access Management
従来型CLB
プラクティスチュートリアル
証明書をCLBに配置(双方向認証)
CLBのGzip有効化設定およびチェック方法の説明
HTTPS転送設定スタートガイド
クライアントリアルIPの取得方法
ロードバランサーのモニタリングアラート設定のベストプラクティス
マルチアベイラビリティーゾーンの高可用性設定の説明
バランシングアルゴリズムの選択と重みの設定の例
CLBのリスニングドメイン名に対してWebセキュリティ保護を実行するようにWAFを設定する
メンテナンスガイド
クライアントのtimewaitが多すぎる場合の対処方法
CLBのHTTPSサービスパフォーマンステスト
ストレステストに関するよくあるご質問
CLB証明書の操作権限に関するご質問
障害処理
UDPヘルスチェックの異常
API リファレンス
History
Introduction
API Category
Instance APIs
Listener APIs
Backend Service APIs
Target Group APIs
Redirection APIs
Other APIs
Classic CLB APIs
Load Balancing APIs
Making API Requests
Data Types
Error Codes
CLB API 2017
よくあるご質問
課金関連
CLB設定関連
ヘルスチェック異常調査
HTTPS関連
WS/WSSプロトコルサポート関連
HTTP/2プロトコルサポート関連
連絡先
用語集
ドキュメントCloud Load BalancerプラクティスチュートリアルHTTPS転送設定スタートガイド

HTTPS転送設定スタートガイド

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-01-04 17:48:23

1. CLB機能の説明

Tencent Cloud CLBロードバランサは、プロトコルスタックおよびサーバーのハイレベルな最適化により、HTTPSパフォーマンスの大幅な向上を実現しました。またTencentは海外事業者との提携によって証明書にかかるコストを大きく削減しました。Tencent Cloud CLBは次のような点でお客様のビジネスに大きなメリットをもたらします。
1. HTTPSを使用してもClientのアクセス速度を低下させません。
2. クラスター内の単一サーバーのSSL暗号化復号パフォーマンスは6.5W cpsのフルハンドシェイクに達します。これはハイパフォーマンスCPUの少なくとも3.5倍アップに相当します。サーバーのコストを削減することで、業務運営およびトラフィック急増時のサービス機能を大幅に引き上げ、コンピューティング型の攻撃防御機能を増強します。
3. マルチプロトコルのオフロードと変換をサポートし、業務上でクライアントのさまざまなプロトコルに対応するための負荷を減らすことができます。業務バックエンドがHTTP1.1をサポートしていれば、 HTTP2、SPDY、SSL3.0、TLS1.2などの各バージョンのプロトコルを使用できます。
4. SSL証明書の申請、モニタリング、更新をワンストップで行えます。国際的な証明書認証局であるComodo、SecureSiteとの間で協議と提携を行い、証明書申請フローの大幅な短縮とコスト削減を実現しました。
5. CC攻撃防止およびWAF機能を有します。スロー攻撃、高頻度ターゲット攻撃、SQLインジェクション、トロイの木馬などのアプリケーション層攻撃を有効に排除します。

2. HTTP、HTTPSヘッダー識別子

CLBはHTTPSのプロキシとなります。クライアントからのHTTPまたはHTTPSリクエストが、CLBに到達してバックエンドサーバーに転送される時点で、CLBとバックエンドサービスの間のプロトコルにHTTP、HTTPSまたはgRPCを選択することをサポートしています。詳細については、HTTPSリスナーの設定をご参照ください。 CLBとバックエンドサービスの間のプロトコルにHTTPを選択した場合、開発者はフロントエンドのリクエストがHTTPかHTTPSかを識別できない可能性があります。
Tencent Cloud CLBはリクエストをバックエンドサーバーに転送する際、headerにX-Client-Protoを埋め込みます。
X-Client-Proto: http(フロントエンドはHTTPリクエスト)
X-Client-Proto: https(フロントエンドはHTTPSリクエスト)

3. クイック設定

ユーザーがウェブサイトhttps://example.comを設定したいとします。開発者は、ユーザーがブラウザにURLを入力する際、www.example.comを直接入力するだけで、HTTPSプロトコルによってセキュアにアクセスできるようにしたいと考えています。
Cloud Load Balancer(CLB)の操作フローは以下のドキュメントをご参照ください。
CLBインスタンスの作成の例
HTTPリスナーの設定
バックエンドサーバーの管理
ユーザーが入力したwww.example.comリクエストの転送フローは次のようになります。
1. このリクエストはHTTPプロトコルで伝送され、VIPを介してCLBリスナーの80番ポートにアクセスし、バックエンドサーバーの8080番ポートに転送されます。
2. Tencent CloudバックエンドサーバーのNginx上でrewrite操作を設定することで、このリクエストは8080番ポートを経由し、https://example.comページにリライトされます。
3. このとき、ブラウザはhttps://example.comリクエストを対応するHTTPSサイトに再度送信します。このリクエストはVIPを介してCLBリスナーの443番ポートにアクセスし、バックエンドサーバーの80番ポートに転送されます。
この操作はブラウザのユーザーに感知されずに、ユーザーのHTTPリクエストをより安全なHTTPリクエストに書き換えるものです。上記のリクエスト転送操作を実現するために、ユーザーはバックエンドサーバーを次のように設定することができます。
server {

    listen 8080; 
    server_name example.qcloud.com;

    location / {

        #! customized_conf_begin;
        client_max_body_size 200m;
        rewrite ^/.(.*) https://$host/$1 redirect;

} 
}
もしくはNginxの新バージョンで、推奨される301リダイレクト設定メソッドを用いて、NginxのHTTPページをHTTPSページにリダイレクトします。
server { 	
      listen	  80;
      server_name    example.qcloud.com;
      return	  301 https://$server_name$request_uri;
}

server {
      listen	  443 ssl;
     server_name    example.qcloud.com;
    [....]
}

前の記事へ: CLBのGzip有効化設定およびチェック方法の説明次の記事へ: CLBからクライアントの実際のIPを取得する方法の紹介

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック